FIDO2 ist ein Authentifizierungsstandard, der es Nutzern ermöglicht, sicher auf Online-Dienste zuzugreifen, ohne Passwörter verwenden zu müssen. Dieser Standard wird von der FIDO (Fast Identity Online) Alliance und dem W3C (World Wide Web Consortium) gefördert.
FIDO2 ist eine Weiterentwicklung und Erweiterung des FIDO-Standards und hat zwei Hauptkomponenten:
WebAuthn (Web Authentication API) ist eine in Zusammenarbeit mit dem W3C entwickelte Spezifikation, die es Webanwendungen ermöglicht, starke Authentifikatoren wie Fingerabdrücke, Gesichtserkennung oder USB-Geräte zur Authentifizierung von Benutzern zu verwenden. Diese Spezifikation bietet eine API, die Webentwickler nutzen können, um die FIDO2-Authentifizierung in ihre Websites und Anwendungen zu integrieren. Mit WebAuthn können Webanwendungen eine sicherere und bequemere Authentifizierung anbieten, indem sie eine Vielzahl von starken Authentifizierungsmethoden verwenden, entweder physische Geräte oder biometrische Methoden.
CTAP (Client to Authenticator Protocol) ist das Protokoll, das die Kommunikation zwischen dem Client (z. B. einem Webbrowser) und dem Authentifikator (z. B. einem physischen Gerät, z. B. einem USB-Sicherheitsschlüssel) ermöglicht. Dieses Protokoll definiert, wie Browser und andere Clients mit FIDO-Authentifikatoren kommunizieren.
CTAP umfasst zwei Versionen:
– CTAP1: Ähnlich wie FIDO U2F ermöglicht es die Authentifizierung mit einem zweiten Faktor, in der Regel einem physischen Gerät.
– CTAP2: Erweitert die Fähigkeiten von Authentifikatoren zur Unterstützung von WebAuthn und ermöglicht so eine erweiterte Authentifizierung ohne Passwörter.
CTAP ist eine wesentliche Voraussetzung dafür, dass Authentifizierungsgeräte effizient mit Webanwendungen und anderen Diensten arbeiten können, die den FIDO2-Standard implementieren.
Wie funktioniert FIDO2?
Wenn sich ein Benutzer bei einem FIDO2-kompatiblen Dienst anmeldet, erzeugt der Authentifikator (physisches oder biometrisches Gerät) ein Schlüsselpaar: einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel wird an den Dienst gesendet und mit dem Konto des Benutzers verknüpft.
Wenn der Benutzer versucht, auf den Dienst zuzugreifen, verwendet der Authentifikator den privaten Schlüssel, um eine vom Dienst bereitgestellte kryptografische Anfrage zu signieren. Der Dienst verifiziert die Signatur mit dem gespeicherten öffentlichen Schlüssel.
Die wichtigsten Vorteile von FIDO2
Sicherheit: FIDO2-Authentifikatoren generieren eindeutige kryptografische Schlüssel für jeden Standort und eliminieren so die Risiken, die mit gestohlenen, wiederverwendeten oder schwachen Passwörtern verbunden sind.
Benutzerfreundlichkeit: Benutzer können sich schnell und bequem mit biometrischen Methoden oder physischen Geräten authentifizieren.
Datenschutz: FIDO2 wurde entwickelt, um die Privatsphäre der Nutzer zu schützen; Authentifikatoren geben keine Informationen preis, die dazu verwendet werden können, Nutzer zwischen verschiedenen Diensten zu verfolgen.
Beispiele für FIDO2-Authentifikatoren:
- USB-Sicherheitsschlüssel.
- In mobile Geräte und Computer eingebettete biometrische Sensoren.
- Softwarebasierte Authentifikatoren wie Windows Hello.
Große Unternehmen und Online-Dienste setzen FIDO2 ein, um die Sicherheit zu verbessern und den Authentifizierungsprozess für die Nutzer zu vereinfachen.